di Fabio PRESUTTI
“La mappa non è il territorio”
L’impianto del sistema della responsabilità amministrativa degli enti laddove fissa un set di regole di carattere generale da rispettare, in primis, l’ “organizzazione”, dall’altra parte proprio in virtù dello spirito di fondo dei gradi di libertà o dell’autoregolamentazione fa sì che l’ambito della compliance – della conformità, ma anche dei controlli interni – diventi sensibilmente più ampio ed il suo ruolo assuma una rilevanza strategica intervenendo in modo significativo nel processo decisionale.
Infatti, il Consiglio di Amministrazione (come detto nell’articolo precedente, link) stabilisce e rettifica all’occorrenza il risk appetite dell’azienda con riferimento allo svolgimento delle attività preordinate al perseguimento dell’oggetto sociale in un contesto nel quale ovviamente il primario obiettivo dell’azienda è quello di acquisire vantaggio competitivo, fette di mercato e utili da distribuire.
Dunque, ricalibrando la metafora iniziale – “La mappa non è il territorio” – sulla base di quanto sin qui argomentato, la collettività, e dunque, la dimensione sociale con le proprie regole, potrebbe rappresentare il territorio mentre l’assetto organizzativo ed il business risk sono la mappa, che le aziende (rectius i suoi decisori) dovrebbero adoperare e di volta in volta revisionare per orientarsi agevolmente all’interno del territorio.
Ciò detto, la base da cui partire per eliminare qualsiasi link con il concetto di devianza, inteso come vizio del processo decisionale, è sempre costituita dall’autoanalisi, che nel contesto aziendale è chiamata mappatura dei rischi o risk assessment.
Ma anche questo procedimento non è esente da gap percettivi e da bias cognitivi, che tanto astrattamente potrebbero inficiare la capacità decisoria di un singolo, allo stesso modo potrebbero idealmente inficiare la capacità di analisi critica dell’organizzazione aziendale.
Si pensi ai seguenti esempi di compliance failure.
Possiamo immaginare il caso in cui l’alto management abbia sottovalutato la possibile concretizzazione ai danni della propria azienda di una minaccia derivante da un attacco cyber. La motivazione di fondo per cui si è deciso di sottovalutare detta fattispecie è promanata dal perché il Top Management abbia “banalmente etichettato” detta evenienza come problema IT. Invece data la pervasività dei sistemi IT l’ambito operativo avrebbe richiesto una corretta cognizione del Top Management che avrebbe dovuto concretarsi nella emanazione di procedure e policy. Nel caso in esame la minaccia cyber ha provocato il furto di dati dal CRM aziendale, con conseguente divulgazione di dati personali dei consumatori e perdita degli stessi. In tale circostanza nonostante che l’art. 24-bis del D.lgs. n. 231/01 sia rubricato “Delitti informatici e trattamento illecito di dati”, ove sono annoverati i reati rilevanti di accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici, interruzione illecita di comunicazioni informatiche o telematiche, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici o telematici, l’inconsapevole scelta del management ha determinato una pressoché inesistente percezione in azienda del rischio, causata dal bias cognitivo definito dell’overconfidence ovvero che porta a sovrastimare le proprie qualità/conoscenze, e, per l’effetto, a sottovalutare i possibili rischi o controindicazioni. Gli Amministratori decidendo di non decidere su come adeguatamente predisporre contromisure per scongiurare un evento come quello del tipo descritto nell’esempio hanno permesso la commissione di taluno dei reati presupposto previsti dall’art. 24-bis del D. lgs. n.231/01.
Ancora, si pensi all’imprenditore che evade l’IVA, commettendo il reato di omesso versamento, ciò per poter pagare i propri dipendenti in una fase di congiuntura economica delle attività della sua azienda. La decisione, come solitamente accade in casi del genere, è combattuta. Infatti, se da una parte l’imprenditore vorrebbe essere onesto e pagare il tributo, dall’altro si sente emotivamente vicino ai propri dipendenti deboli ed in enorme difficoltà senza stipendio. In questo caso l’imprenditore, avvertendo la pressione dell’aut-aut tra pagare l’imposta dovuta per legge allo Stato o pagare i dipendenti deboli ed in difficoltà per poi in un secondo momento ripianare l’omesso versamento, decide per l’omesso versamento e dunque assume la condotta che integra gli elementi della fattispecie incriminatrice e commette il reato previsto e punito dall’ art. 10-ter del D. Lgs. n. 74 del 2000 applicabile ratione temporis. Decisione che è stata generata da quello che viene definito l’optimism bias. Questa devianza deriva dall’eccesiva fiducia nelle proprie possibilità, nell’esempio l’ottimismo si concreata da un lato nella possibilità di pagare in un secondo momento l’imposta e dall’altro scampare, a quella che si considera, una remota ipotesi, quella dell’accertamento da parte delle autorità preposte, che al contrario rappresenta una conseguenza concreta e realizzabile e che verificandosi porta a conseguenze ben più gravi l’imprenditore.
L’incertezza è uno stato di natura ineliminabile mentre il rischio è una conseguenza dell’incertezza che al contrario della prima può essere conosciuto, misurato e soprattutto affrontato.
Dunque, al fine di ovviare alle gravose ed onerose conseguenze di una erronea percezione dei rischi ed incorrere come esito immediato in una compliance failure con tutto ciò che ne consegue anche a livello reputazionale, è utile nonché opportuno strutturare la dimensione organizzativa aziendale.
L’azienda non è obbligata, ma fortemente esortata, alla luce degli scandali di cronaca degli ultimi 30 anni, ad adeguatamente predisporre un sistema di controlli interni efficienti, un monitoraggio continuo dei rischi, la predisposizione di interventi correttivi e formazione del personale. Tutto ciò in un ambiente che predisponga deleghe adeguate con sistemi di reporting altrettanto efficienti, attribuisca ruoli organizzativi, che assicurino:
- (i) la segregation of duties;
- (ii) una minimizzazione e gestione dei potenziali conflitti di interesse; ed
- (iii) un sistema informativo rapido al servizio del Consiglio di Amministrazione.
In conclusione, se è vero, come è vero, che il Legislatore con questa impostazione della responsabilità amministrativa degli enti è voluto passare da un sistema di regole prescrittivo ad uno precettivo, nel segno del sistema dei gradi di libertà e all’autoregolamentazione, è possibile tematizzare e rappresentare i concetti di cui sopra in aderenza al concetto di “casa dalle mura di vetro”.
Questa è una antica ambizione che ha origine dalla celebre frase pronunciata dal Politico Filippo Turati nel 1908 con riferimento alla necessaria trasparenza dell’azione amministrativa, ora, per scelta di civiltà giuridica è richiesto a tutti i consociati, ed in primis alle imprese che costituiscono le colonne portanti della società, di adottare il modello della casa dalle mura di vetro al fine di percorrere la via del benessere comune, fondato sulla legalità e sulla creazione di valore per gli Stakeholder.
Intervento del Dr. Fabio PRESUTTI, Avvocato e Giurista d’impresa
LEGGI QUI l’articolo precedente 1/2, Governance d’impresa: trasparenza e obiettivi di legalità
Per approfondimenti e riferimenti normativi, consultare i seguenti link:
EBA – Linee Guida sulla Governance Interna – aggiornamento 21-03-2018
BANCA D’ITALIA – Provvedimento del 5/12/2018
A. Korzybski, Filosofo e scienziato polacco (1879 – 1950) la cui opera ha influenzato le successive scienze psicologiche come la Psicoterapia REBT e la PNL
G. Bateson, filosofo antropologo e psicologo britannico (1904 – 1980) uno dei padri della moderna psicologia. L’affermazione “la mappa non è il territorio” è presente nell’opera pubblicata postuma in Italia “ Mente e natura” Adelphi 1984
F. Turati, Politico giornalista e politologo italiano (1857-1932), pronunciò il concetto di “casa dalle mura di vetro” nel 1908